Rsyslog日志轮转权限问题解决方案

问题背景

在使用Rsyslog进行日志管理时，用户尝试通过rotation.sizeLimitCommand参数实现日志文件的自动轮转功能。具体配置中，当checkpoint.log文件大小达到50MB时，系统应执行mv命令将其重命名为备份文件。然而在实际操作中，Rsyslog报告了"Permission denied"错误，表明执行权限不足。

错误分析

系统审计日志显示，问题根源在于AppArmor安全模块阻止了Rsyslog执行mv命令的操作。AppArmor是Linux系统中的一个强制访问控制框架，它通过配置文件限制特定应用程序可以访问的资源。在默认配置下，Rsyslog的AppArmor策略(/etc/apparmor.d/usr.sbin.rsyslogd)并未允许执行外部命令。

解决方案

1. 创建专用脚本

首先创建一个专用的日志轮转脚本/usr/local/bin/logrotation.sh，内容如下：

#!/usr/bin/bash
mv -f /var/log/checkpoint.log /var/log/checkpoint.log.backup

2. 设置脚本权限

确保脚本具有正确的所有权和执行权限：

chown syslog:adm /usr/local/bin/logrotation.sh
chmod 755 /usr/local/bin/logrotation.sh

3. 修改AppArmor配置

编辑Rsyslog的AppArmor配置文件/etc/apparmor.d/usr.sbin.rsyslogd，添加以下内容：

/usr/bin/mv                   mixr,
/usr/local/bin/logrotation.sh mixr,

mixr权限表示允许内存映射(m)、执行(i)、读取(r)和写入(x)操作。

4. 更新Rsyslog配置

最后修改Rsyslog配置文件，使用新创建的脚本作为轮转命令：

action(type="omfile" 
       file="/var/log/checkpoint.log" 
       rotation.sizeLimit="52428800" 
       rotation.sizeLimitCommand="/usr/local/bin/logrotation.sh")

技术要点

1. 最小权限原则：通过创建专用脚本而非直接允许所有mv操作，遵循了安全最佳实践。

2. AppArmor策略：了解Linux安全模块的工作机制对于解决此类权限问题至关重要。

3. 日志轮转替代方案：除了自定义脚本，也可以考虑使用Rsyslog内置的轮转机制或结合logrotate工具实现更复杂的轮转策略。

4. 所有权设置：确保脚本和日志文件的所有权与Rsyslog运行用户(syslog)匹配，避免权限冲突。

总结

在Linux系统中实现日志轮转功能时，除了基本的文件权限设置外，还需要考虑安全模块(AppArmor/SELinux)的限制。通过创建专用脚本并适当配置安全策略，可以在保证系统安全的前提下实现灵活的日志管理功能。这种方法不仅解决了当前问题，也为未来可能的扩展需求提供了良好的基础架构。